概要
この資料は IOS ® デバイスの非Pattable トラフィックのダイナミックネットワークアドレス変換(NAT)の予期せぬ動作を記述したものです。
問題
非Pattable トラフィックはダイナミック NAT の場合には NAT 変換テーブルの半エントリを作成します。 これらのエントリはセキュリティリスクとして外部 から 内部 へのトラフィックのためにはたらくので提起します。
NAT の設定
ip nat pool ATT_FIBER 10.10.10.1 10.10.10.6 netmask 255.255.255.248
ip nat inside source list GUEST_SUBNET pool ATT_FIBER overload
ip nat inside source list OFFICE_SUBNETS pool ATT_FIBER overload
ip access-list extended OFFICE_SUBNETS
deny ip 172.16.26.0 0.0.0.127 any
permit ip 172.16.8.0 0.0.1.255 any
ip access-list extended GUEST_SUBNET
permit ip 172.16.26.0 0.0.0.127 any
udp 10.10.10.1:49370 172.16.9.9:49370 192.168.1.1:53 192.168.1.1:53
udp 10.10.10.1:49535 172.16.9.9:49535 192.168.2.2:53 192.168.2.2:53
tcp 10.10.10.1:53133 172.16.9.9:53133 192.168.3.3:80 192.168.3.3:80
tcp 10.10.10.1:56311 172.16.9.9:56311 192.168.4.4:5816 192.168.4.4:5816
--- 10.10.10.1 172.16.9.9 --- ---
半分エントリはパケットが内側から始められるとき- > 外部であるところで内部のマッピングが- > 外部またはある特定の場合作成されます。
時ルータが NAT overload 設定(ポート Addess 用に設定される変換(PAT)) そして非pattable トラフィックはこのトラフィックのためにルータを、非pattable バインド エントリ作成されます見つけます。 それはこの種類の NAT 表のエントリの原因となります:
--- 10.10.10.1 172.16.9.9 --- ---
このバインド エントリはプールからの全体のアドレスを消費します。 この例では、10.10.10.1 は過剰にされたプールからのアドレスです。
それはスタティック NAT に類似したである Outside Global IP に結合 される Inside Local IP アドレス gets を意味します。 このような理由で時間を計られる現在のエントリ gets が新しい Inside Local IP アドレスこのグローバルIPアドレスを使用できないまで。 このバインドのために作成されるすべての変換は過負荷の代りに変換 1 に1 あります。
解決策
この問題を解決するために、ダイナミック NAT と route-maps を使用できます。 route-maps によって、NAT は半エントリを作成しませんし、プール過負荷の代りにインターフェイス過負荷を使用しません。 非pattable バインディングはインターフェイス過負荷の場合には作成されません。